Het behalen van de ISO27001-certificering is een belangrijke mijlpaal voor elke organisatie. Het toont aan dat men zich inzet voor de bescherming van gevoelige informatie en de handhaving van effectieve informatiebeveiligingscontroles. Voordat een organisatie echter een certificering kan verkrijgen, moet zij een audit ondergaan om te waarborgen dat zij voldoet aan de eisen van de norm. In deze blog laten wij u zien we wat organisaties moeten regelen voor een ISO27001-certificeringsaudit. Door dit even goed door te lezen weet u tenminste zeker dat u niet meer voor verrassingen komt te staan.
Stap 1 – Bepaal de reikwijdte van de audit
De eerste stap bij het regelen van een ISO27001-certificeringsaudit is het vaststellen van de reikwijdte van de audit. De reikwijdte van de audit moet alle aspecten van het beheersysteem voor de juiste vorm van informatiebeveiliging (ISMS) van de organisatie omvatten. Dit omvat alle processen, procedures en controles met betrekking tot het beheer, de opslag en de bescherming van gevoelige informatie. Organisaties moeten alle afdelingen, locaties en informatiesystemen identificeren die onder de audit vallen. Zij moeten er ook voor zorgen dat alle werknemers die verantwoordelijk zijn voor het beheer of de behandeling van gevoelige informatie op de hoogte zijn van de reikwijdte en de doelstellingen van de audit.
Stap 2 – Selecteer een geaccrediteerde certificatie-instelling
De volgende stap is het selecteren van een geaccrediteerde certificatie-instelling om de audit uit te voeren. Geaccrediteerde certificatie-instellingen zijn bevoegd om ISO27001-certificaten af te geven en hebben strenge tests ondergaan om te garanderen dat ze voldoen aan de vereisten van de norm. Organisaties moeten een certificatie-instelling selecteren die ervaring heeft met het auditen van organisaties die vergelijkbaar zijn met hun eigen organisatie. Ze moeten er tevens voor zorgen dat de certificeringsinstantie een grondige kennis heeft van de industriële regelgeving en normen die van toepassing zijn op hun organisatie.
Stap 3 – Bereid de audit op de juiste wijze voor
Zodra de reikwijdte van de audit is vastgesteld en een certificatie-instelling is geselecteerd, moeten organisaties beginnen met de voorbereiding van de audit. Dit omvat het herzien van alle processen, procedures en controles met betrekking tot het ISMS, en ervoor zorgen dat deze gedocumenteerd en up-to-date zijn. Organisaties moeten ook een kloofanalyse uitvoeren om alle gebieden van het ISMS te identificeren die moeten worden verbeterd om aan de eisen van de norm te voldoen. Vervolgens ontwikkelen zij een actieplan om de bij de kloofanalyse vastgestelde lacunes aan te pakken. Daarnaast moeten organisaties er ook voor zorgen dat alle werknemers worden opgeleid en op de hoogte zijn van het beleid en de procedures van de organisatie inzake informatiebeveiliging. Dit omvat training over hoe om te gaan met alle gevoelige informatie, hoe beveiligingsincidenten te melden, en hoe te voldoen aan industriële regelgeving en normen.
Stap 4 – Het uitvoeren van de audit
De certificatie-instelling voert de audit in twee fasen uit. De eerste fase is een beoordeling van de documentatie, waarbij de audit afnemer alle documentatie met betrekking tot het ISMS, inclusief het beleid, procedures en controles, doorneemt. Het doel van dit onderzoek is om te verzekeren dat de organisatie alle aspecten van haar ISMS heeft gedocumenteerd en dat de documentatie voldoet aan de eisen van de norm. Als de beoordeling van de documentatie succesvol is, gaat de certificatie-instelling over tot de tweede fase van de audit. Dit is de audit ter plaatse.
Tijdens de audit ter plaatse zal de certificatie-instelling gesprekken voeren met alle werknemers, dossiers bekijken en processen observeren om te garanderen dat de organisatie de gedocumenteerde procedures en controles volgt. De certificatie-instelling beoordeelt ook de doeltreffendheid van het ISMS van de organisatie voor de juiste bescherming van gevoelige informatie en de preventie van beveiligingsincidenten. Zij zal eventuele fouten vaststellen, d.w.z. gebieden waarop de organisatie niet voldoet aan de eisen van de norm.
Stap 5 – Oplossen van de fouten
Als er tijdens de audit fouten worden vastgesteld, moet de organisatie deze aanpakken voordat de ISO27001-certificering kan worden toegekend. De organisatie moet een actieplan ontwikkelen om elke fout aan te pakken, inclusief het toewijzen van de verantwoordelijkheid voor het uitvoeren van de corrigerende maatregelen en het vaststellen van een tijdschema voor de voltooiing ervan. Zodra de corrigerende maatregelen zijn voltooid, moet de organisatie aan de certificeringsinstantie het bewijs leveren dat de fouten zijn aangepakt. De certificeringsinstantie zal dan het bewijs beoordelen en bepalen of de organisatie aan de eisen van de norm heeft voldaan.